引言:
在GDPR生效五周年之际,爱尔兰数据保护委员会向Meta开出了创纪录的12亿欧元天价罚单,处罚依据是Meta Ireland向Meta US传输欧洲用户个人信息(包含照片、朋友关系、直接消息和为定向广告所收集的个人信息等)时未遵循GDPR规定,且未采取充分的保障措施保障该数据跨境共享行为。
这背后的数据主权之争暂且不论,但确实为提供全球服务的集团公司敲响了“警钟”:其除了需要关注“数据合规管辖权” 外 (具体参见《AIGC照镜子(二):提供全球服务,ChatGPT仅遵守美国法律就够了吗?》),还需额外关注集团内数据共享行为(尤其在跨国共享的情形下)的合规性。
作为一家同样提供全球服务的互联网公司,Open AI在运营ChatGPT的过程中,也不可避免地会面临数据共享的问题。对此,Open AI又将如何应对?我们将在本文中通过解析其《隐私政策》进行探讨。
一、数据共享的前提——“我们”有界
数据共享的前提是通过合法路径收集了数据主体的数据。直接向数据主体收集数据是最常见的场景,而“告知-同意”规则则是最主要的合法性依据,即通过《隐私政策》等文本向用户告知数据处理主体(即数据控制者,对应到大陆《个人信息保护法》,则是指个人信息处理者),数据收集的目的、范围及方式,在获得用户点击“同意”后方可收集并处理其个人信息。
“我们”是《隐私政策》中常见的简称,本是用来指代《隐私政策》的数据处理主体,但有不少互联网平台借此词做起了文章:通过使用“我们”一词,笼统地将平台运营主体及其相关关联公司一并纳入进来。
由此,在造成适用主体不清的同时,也暗含了其他数据合规风险:即个人信息共享时的边界模糊问题。具体详见本团队撰写的《<个人信息保护法>实施1.5年,再看平台隐私政策中 “我们”是谁?》。
在这个问题上,Open AI倒没有打小算盘,在《隐私政策》列专条明确了“数据控制者”的角色,即ChatGPT的运营主体Open AI, L.L.C.(根据其最新《隐私政策》1,数据控制者已变更为Open AI OpCo, LLC)。
二、个人信息“共享”无边?
如上文所述,在“我们”不清的情形下,容易导致个人信息共享的边界模糊。但即便是在Open AI在明确“我们”是谁的情形下,也依然在个人信息共享上打起了“马虎眼”。
根据ChatGPT《隐私政策》,个人信息共享共有四种情形,分别为第三方服务商共享、商事交易转移共享、法律要求共享及关联方共享。有意思的是,与其他三种共享情形相比,关联方共享并没有明确具体共享的情形和目的:
即便是在下文针对加利福利亚用户的专章,针对共享的个人信息范围又做了列举,都包括分享给关联方的个人信息,其中不乏登录信息等敏感个人信息,但仍未明确具体会在何时分享。
然而,根据美国加州消费者隐私法案(即California Consumer Privacy Act,下称“CCPA”)的规定,消费者有权利知道收集、出售或分享个人信息的业务或商业目的;根据GDPR的规定,当控制者打算向另一接收方披露个人数据,应当按照GDPR的规定向用户披露相关信息,包括个人数据的处理目的及依据。
如在今年2月,美国联邦贸易委员会(即Federal Trade Commission,下称“FTC”)就GoodRx(一家可以网络远程购买处方药的折扣互联网平台)违规向Facebook和谷歌在内的广告商共享用户的健康数据一案,向GoodRx开出了150万美元的罚单。GoodRx通过向Facebook等广告商共享用户个人健康信息(包括处方和医疗状况),以在Facebook和Instagram等平台为自己的用户提供个性化的特定药物广告。FTC认为这违反了其向用户作出的隐私承诺,也未通知用户他们的健康数据在未经授权的情况下被泄露,故而做出了处罚决定。
但显然,Open AI在关联主体之间共享个人信息(特别是可能包含敏感个人信息)这一维度未能并未遵循CCPA及GDPR的规定,违反了透明度原则,其合规性存在瑕疵。
结语:
数据,只有在有序的流动中才能产生价值。
对于类ChatGPT提供全球服务的企业而言,无论是内部集团内共享,还是外部与供应商/客户等进行共享,都需要着重关注数据共享的合规边界,在确定“数据合规管辖权”的基础上,按照下述“四步走”路径,明确各方的数据处理角色(共同处理、委托处理/受托处理)及共享场景,在明确自身权责的同时,适配对应风控措施,从而实现数据的合规有序流动:
1.第一步:确定共享目的
在决定是否进行数据共享前,首先需要确定共享的目的,明确共享的具体应用场景及共享主体,并形成书面记录。
2.第二步:明确共享范围
应只共享实现目的所需的最少数据,以便遵循最小必要原则,并明确是否包括敏感个人信息、重要数据等特殊种类的数据,对于特殊种类数据,应当匹配相应的加密传输、去标识化等技术安全措施;如涉及跨境共享数据的,还应当遵循数据出境相应规则,履行相应审批/备案流程(如需)。
3.第三步:界定各方角色
作为数据提供方,应当明确共享场景及各自角色(提供、共同处理或委托处理),并基于此明确双方各自权利、义务及责任承担问题。
4.第四步:适配风控措施
基于数据共享场景,事前做好数据保护影响评估/个人信息保护影响评估,梳理、分析数据共享可能会给数据主体带来的风险(如是否侵犯个人信息及隐私权)、是否符合与第三方的约定以及是否会对于公司的独立性以及数据安全带来风险,从而制定适配相应的风控措施。
参考文献:
[1]Privacy policy (Updated Apirl 27,2023),https://openai.com/policies/privacy-policy, 2023年6月4日访问。
本文作者:
高亚平,德恒上海办公室合伙人、数据与合规业务部负责人;高律师深耕新经济、大数据与互联网行业法律服务,擅长创新业务领域的合规体系模型构建、互联网与数据业务合规、新经济平台业务合规、算法合规、数据出境等细分领域,担任多家头部新经济平台与大数据公司合规法律顾问。
纪倩,德恒上海办公室律师,专注于电商平台合规运营、税务筹划等相关法律服务,曾参与过多个社交电商平台合规风控、平台及平台内经营者税务筹划等项目。
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。